מה זה ATO?
ATO או Authority to Operate הוא מונח מפתח בתחום אבטחת המידע והציות הרגולטורי בארה״ב,
במיוחד במגזר הפדרלי והביטחוני.
הכוונה היא לאישור פורמלי שמעניק בעל סמכות (Authorizing Official – AO) למערכת מידע להתחיל לפעול
בסביבה יצרנית, לאחר שנבדקה ונמצא כי היא עומדת בדרישות האבטחה והציות הרלוונטיות.
ה־ATO מהווה למעשה “חותמת רשמית” שמאשרת כי הסיכונים שנותרו במערכת הם ברמה מקובלת מבחינת
הארגון והרשויות.
הצורך ש-ATO והקשר הרגולטורי
במערכות ממשלתיות ובפרויקטים עתירי מידע רגיש, החל במערכות בקרה תעשייתיות ועד מערכות ענן,
אין אפשרות להפעיל פתרון ללא אישור ATO.
הדרישה מגיעה לרוב מהמסגרות הבאות:
NIST Risk Management Framework (RMF) – מסגרת ניהול סיכונים תקנית לממשל האמריקאי.
FISMA – חוק Federal Information Security Management Act, המחייב הגנה על מידע פדרלי.
FedRAMP – תקן ייחודי לשירותי ענן עבור סוכנויות ממשלתיות.
הצורך המרכזי הוא להבטיח שמידע רגיש, כגון נתוני בריאות, מידע צבאי, או פרטי אזרחים,
יוגן בהתאם לרמת האיום והרגולציה.
סוגי ATO
Full ATO – אישור מלא ל־3 שנים (או בהתאם למדיניות הארגון).
Interim ATO (IATO) – אישור זמני, לרוב ל־6–12 חודשים, כאשר נדרש עדיין תיקון פערים.
Provisional ATO (P-ATO) – בעיקר ב־FedRAMP, מאפשר שימוש בענן תחת מגבלות מוגדרות.
שירותי ATO של קורל טכנולוגיות בתחום
ניתוח פערים ראשוני מול דרישות RMF/FedRAMP.
כתיבת System Security Plan ו־POA&M מקצועי.
ביצוע Security Control Assessment (SCA).
הכנת צוות הלקוח לבדיקות הרשויות.
ליווי בתהליך קבלת ה־ATO המלא או הביניים.
אוטומציה של ניהול סיכונים ודיווחי ציות.
שאלות ותשובות בנושא ATO
האם ניתן לקבל ATO למערכת בפיתוח מתמשך (Agile)?
כן, באמצעות גישה של Continuous ATO (cATO) המשלבת בדיקות אוטומטיות לאורך מחזור הפיתוח.
מה ההבדל בין FedRAMP ATO ל־RMF ATO רגיל?
FedRAMP ATO ממוקד בשירותי ענן פדרליים, עם בקרות מותאמות מה־NIST 800-53, בעוד RMF ATO
רגיל יכול לחול גם על מערכות On-Premises.
האם ATO תקף בין ארגונים שונים?
לרוב לא. ATO ניתן על ידי גוף מאשר מסוים ותוקפו מוגבל למנדט שלו בלבד.
